Datenleak: Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

Artikel veröffentlicht am ,
Auch Fehler, die lange her sind, können einen später eventuell hinter Gitter bringen.
Auch Fehler, die lange her sind, können einen später eventuell hinter Gitter bringen. (Bild: Luis Prado from The Noun Project/CC-BY 3.0)

Der mutmaßliche Täter im Politiker-Hack hat einige gravierende Fehler gemacht, die zu seiner Entdeckung führten. Mit einem VPN, verschiedenen Identitäten und einer 32-mal überschriebenen Festplatte wollte sich Johannes S. der Strafverfolgung entziehen - scheiterte aber an einigen Stellen bei der Umsetzung. Auch äußerte er sich allzu freimütig zu seinen Aktivitäten im Internet, was schließlich zu seiner Ergreifung durch die Polizei führte.

Stellenmarkt
  1. Solution Adoption Manager (m/f/d) SAP Treasury
    Vorwerk Services GmbH, Wuppertal
  2. (Bio-)Informatiker (m/w/d) als Software-Entwickler (m/w/d)
    INFRAFRONTIER GmbH, Neuherberg bei München
Detailsuche

So schildert es der Heilbronner Jan Schürlein, der mit Johannes S. seit Jahren per Internet in Kontakt stand, in einer Stellungnahme und einem Interview mit dem ARD-Politikmagazin Kontraste Der entscheidende Fehler unterlief Johannes S. demnach bereits 2016, als er sich noch Nullr0uter/NFO nannte und die Konten der Youtuber Jan Meyer (ApeCrime) und Br4mm3n (PietSmiet) übernahm.

Um seine IP-Adresse zu verschleiern, setzte er dabei auf einen VPN. Allerdings hatte er keinen Killswitch eingerichtet. Das bedeutet, dass im Falle eines VPN-Ausfalls unter der IP-Adresse des Internetanschlusses weiter gesurft wird - und genau das geschah. Sein VPN fiel aus und die IP-Adresse des Internetanschlusses wurde in der Verbindungshistorie der Benutzerkonten von Jan Meyer und Br4mm3n gespeichert.

Polizei durchsuchte Haus des Verdächtigen schon 2016

Die Youtuber erstatteten Anzeige, die Ermittlungsbehörden erfragten die Verbindungsdaten und ordneten die IP-Adresse dem Elternhaus von Johannes S. zu, das sie am 6. Oktober 2016 durchsuchten. Dieser berichtete Schürlein nach dessen Darstellung live: "Die Bullen stehen gerade vor der Tür". Johannes S. war mit seinem Alias Nullr0uter in den Akten der Polizei gelandet. Die Ermittlungsbehörden verschleppen jedoch das Verfahren. Das sei nicht ungewöhnlich, wenn die Geräte verschlüsselt seien, meint Schürlein.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Irgendwann begann Johannes S., das Pseudonym 0rbit zu nutzen, allerdings folgte er mit diesem auch seinen alten Konten unter dem Alias Nullr0uter. Selbst die Schreibweise ähnelte sich etwas. Auch als er sich Zugriff auf die Daten von Politikern und Prominenten verschaffte und sie im Dezember 2018 via Twitter öffentlich machte, verwendete er beide Pseudonyme. Es wäre für die Polizei also möglich gewesen, 0rbit mit dem Pseudonym Nullr0uter in ihren Akten zu verknüpfen und so direkt als den polizeibekannten Johannes S. zu identifizieren. Allerdings geschah das offenbar erst auf einen Hinweis von Schürlein hin.

Die Polizei war auf Schürlein aufmerksam geworden, weil er immer wieder in Kontakt mit 0rbit gestanden hatte und dies auch öffentlich machte. Am 6. Januar 2019 durchsuchte das BKA seine Wohnung und vernahm ihn als Zeugen. Schürlein will dabei den entscheidenden Hinweis geliefert haben, nämlich dass die Polizei bereits 2016 das Haus von Johannes S. durchsucht hatte. Sicherheitskreise bestätigten dem Politmagazin Kontraste, dass Schürleins Aussage wesentlich zur Identifizierung des Verdächtigen beigetragen habe.

"Von mir aus hätte ich mich bei den Behörden nicht gemeldet. Da das BKA aber so einen Druck aufgebaut hat, habe ich eben kooperiert und die gesamten Infos, die ich dazu habe, herausgegeben - beziehungsweise dieses eine brisante Detail", sagte Schürlein Kontraste. In der Folge wurde Johannes S. festgenommen und dessen Zuhause durchsucht. Er soll die Festplatte seines Computers 32-mal überschrieben und den Rechner anschließend ordnungsgemäß auf dem Recyclinghof entsorgt haben.

Rechte Einstellung

Vom Politiker-Hack sind wenig rechte Politiker betroffen, die AfD fehlt komplett. Nicht auszuschließen ist, dass dies mit einer rechten Gesinnung 0rbits zusammenhängt. Dieser hatte die Datenleaks damit begründet, dass er sich über öffentliche Äußerungen der betroffenen Personen geärgert habe. Laut Schürlein äußerte sich Johannes S. abgrundtief negativ über Flüchtlinge. Die Aktion "Reconquista Internet" des Satirikers Jan Böhmermann soll Johannes S. provoziert haben. Böhmermann wandte sich mit der Aktion gegen rechten Hass im Internet und die rechtsradikale Hassbewegung "Reconquista Germanica" und war ebenfalls Ziel von Johannes S.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kryptowährungen
Lohnt sich der Einstieg in Chia?

Wie andere Altcoins soll Chia eine verträglichere Version des Bitcoin sein. Farming punktet dabei gegenüber GPU-Mining, wirklich sauber ist es aber nicht.
Von Dirk Koller

Kryptowährungen: Lohnt sich der Einstieg in Chia?
Artikel
  1. Windows 365: Der mietbare Cloud-PC mit Windows kann bestellt werden
    Windows 365
    Der mietbare Cloud-PC mit Windows kann bestellt werden

    Microsoft startet mit Windows 365 und gibt Preise für den Cloud-PC bekannt. Die VMs sollen wie physische Windows-PCs funktionieren.

  2. Journalistinnen: Fotos mit NSO-Trojaner gestohlen und veröffentlicht
    Journalistinnen
    Fotos mit NSO-Trojaner gestohlen und veröffentlicht

    Private Bilder von Journalistinnen wurden zur Rufschädigung veröffentlicht. Die Fotos sollen aus per NSO gehackten Smartphones stammen.

  3. Machine Learning: US-Militär will Tage in die Zukunft schauen
    Machine Learning
    US-Militär will Tage in die Zukunft schauen

    Massenweise Informationen sollen einer KI des US-Militärs dabei helfen, Situationen bereits Tage vorher zu berechnen. Tests dazu laufen.

Lanski 25. Jan 2019

Wie ist das völlig an der Realität vorbei? Das war absolut korrekt und deine Gegenfrage...

Lanski 25. Jan 2019

Wieso sind Fakten extrem? Wow, der Definition nach wäre etwas wie die ESA eine...

Lanski 25. Jan 2019

Klar, ungefähr so ein Held wie die RAF damals. Terrorist würde ich ihn nennen. Ich...

Aluz 18. Jan 2019

Sag das doch nicht bevor der noch nen Tipp gibt und du da nicht mehr durchbrettern kannst :C

Gallantus 14. Jan 2019

Laut diversen Nachrichten, soll er einfach schon öffentlich zugängliche Informationen...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • C27RG54FQU, 27 Zoll, curved 203,55€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 15% auf Xiaomi-Technik • Hisense UHD-Fernseher • Saturn: 1 Produkt zahlen, 2 erhalten [Werbung]
    •  /